Использование AWS Step Functions для объединения лямбда-выражений интересно, но есть ли способ отключить / скрыть ведение журнала на экране сведений о выполнении? Передача частной информации от одной лямбда-выражения к другой должна выполняться в секрете, а добавление шифрования / дешифрования KMS на каждом этапе требует огромных накладных расходов, и невозможно для лямбда-выражений, находящихся в VPC без доступа в Интернет.
Как безопасно передавать конфиденциальную информацию в AWS Step Functions
Ответы (2)
Мы поговорили с Amazon, и похоже, что скрыть эту информацию с консоли невозможно. Альтернативой является ограничение того, что отправляется лямбда-функциям на каждом этапе.
Таким образом, вы можете гарантировать, что определенные функции будут видеть только подмножества входных данных, не относящиеся к PII. Обычный обходной путь заключается в том, чтобы вообще не передавать данные PII, а вместо этого поместить данные PII в зашифрованные хранилища данных, такие как корзина S3 или зашифрованная таблица базы данных RDS, и передать ссылку на этот объект через конечный автомат.
Другой вариант - использовать хранилище параметров SSM с типом SecureString
с использованием шифрования KMS. Вы должны передавать имя параметра SSM между шагами. Лямбда-функции будут использовать API для получения и дешифрования значения в одном запросе. См. Ссылку ниже для документации о том, как работать с хранилищем параметров SSM с помощью boto3 в Python.
http://boto3.readthedocs.io/en/latest/reference/services/ssm.html#SSM.Client.get_parameter.
Вам нужно будет убедиться, что роли ваших лямбда-функций предоставляют доступ к параметрам SSM И доступ к тому же ключу KMS, который использовался для шифрования значения.